阿里安全潘多拉實驗室龍磊:越獄 iOS 11.2,選了一條最難走的路

本文轉載自雷鋒網,原標題為《「黑客」龍磊:越獄 iOS 11.2,我選了一條最難走的路》

蘋果越獄不好搞,但他們居然兩個月內針對三個最新版系統「越」了三次,這就很神奇了。

「他們」就是阿里巴巴的潘多拉實驗室

潘多拉實驗室於 2017 年成立,此前僅在阿里先知創新大會上露過一次面,其安全研究員用視頻演示了安卓8.0 的 Root 提權和 iOS 11.1 的完美越獄。

12 月 13 日,阿里安全潘多拉實驗室稱,已經完美越獄蘋果 iOS 11.2。一天後,在蘋果發布了 iOS 11.2.1之後的數小時內,他們又演示了針對該版本的完美越獄。

「完美越獄」是有技術含金量的。「非完美越獄」後的手機一旦重啟,你就得重新手動操作一遍越獄流程,有點像「一次性」越獄。而完美越獄可在重啟手機後,還能自動執行越獄代碼,在重啟前完成越獄。

人前厲害、風光,人後的苦可能只有研究者自己知道。

潘多拉實驗室 iOS 11.2 的越獄作者龍磊表示, 2015 年初步研究蘋果越獄時,十分孤獨。有意思的是,上一個對雷鋒網宅客頻道表達這種憂思的是騰訊科恩越獄了 iOS 11.1. 1 系統的著名黑客陳良。「越獄期間我買了一個小酒壺,鬱悶時候喝兩口,偶爾還能激發別的思路。」陳良說。

阿里安全潘多拉實驗室研究人員龍磊

龍磊經歷思路受阻,睡不著覺時,會喝兩口意式濃縮,看看越獄和咖啡,到底哪一種更苦。

從「越獄生態」到「越獄蘋果」

龍磊不是一開始就選擇研究蘋果越獄的。確切來說,一開始他想專職研究蘋果系統越獄,但沒敢。

「不敢」是有原因的。

2011 年,龍磊加入了騰訊手機衛士團隊。當時,他在騰訊做的是越獄環境下的應用。。比如,蘋果手機越獄後可以在非官方店下載第三方應用,他做的就是與第三方應用和生態相關的事情。2014 年 6 月,龍磊從騰訊離開時,中國還沒有人成功實現蘋果手機越獄。

在此之前,要去探索一座國人尚未涉獵過的高峰,不知道前方能否有所收穫,可能需要積累勇氣。不過,這並不妨礙他在工作之餘自學越獄技術。

環境推了龍磊一把。

從友盟發布的數據看,越獄 iPhone 在手機總數中所佔的比例從 2013 年第一季度時的 35% 下降到了當年年底時的 12% 。從 2013 年年底開始,越獄 iPhone 所佔的比例穩定在了 10%-15% 之間。

「越獄的生態越來越萎縮,蘋果生態研究變得沒有那麼有市場,感覺掉轉方向的時機可能到了。」龍磊說。

2014 年 6 月,龍磊決定離開,去探尋可能可以追逐最初夢想的機會。

不料,6 月 24 日,中國有個叫做「盤古」的越獄團隊與知名的第三方市場 PP 助手聯合發布了國內首款 iOS7.1.1 完美越獄工具「盤古」。

龍磊看到這則新聞時,感到又驚喜又緊迫。

此時,他已經打算進入阿里巴巴的移動安全團隊,準備探索 iOS 系統的不足——這個看上去離原來的興趣更近一點了。但他依然沒敢「正大光明」地宣告自己要越獄,還在積累技術。直到 2014 年底,龍磊覺得自己的技術「差不多了」,他所在的部門也很支持這件事。他覺得「越獄」這件事可以搞了。

選擇研究「工具」還是「系統」

不過,事情沒有那麼順利。

2015 年,龍磊陸續向蘋果提交了一些漏洞,並帶著自己關於構建通用漏洞挖掘工具的思路《Optimized fuzzing IOKIT in iOS》在世界著名黑客大會 Blackhat 2015 上進行了分享。台下,他還與蘋果公司的工作人員聊了很多關於蘋果系統機制的問題。

看上去順風順水。但是,一個念頭閃了過來,龍磊突然覺得自己可能走岔了路。

龍認為,自己在通用的漏洞挖掘工具上投入了太多精力,卻忽略了對蘋果安全機制本身的研究。

2017年 12 月 18 日,龍磊和潘多拉實驗室負責人宋楊坐在雷鋒網宅客頻道面前時,是這樣反思的——「對於蘋果安全機制的研究恰恰是最重要的。」宋說,龍磊在以前阿里內部的經驗分享上,還著重介紹了蘋果越獄的兩個技術流派:「氣宗」和「劍宗」

其實,這就是安全圈挖掘漏洞的兩種主流的方式。第一種,開放通用的漏洞挖掘工具。第二種,完全不用工具,靠研究人員去做分析、看代碼。

龍說,不能說哪種方法更好。如果面對是成熟度比較低的代碼,使用漏洞挖掘的工具效率可能會更高,但如果面對的是 iOS 內核級的漏洞,它的代碼過了很多年以及無數安全研究員的檢驗,代碼發展已經變得非常穩定,這種情況下,通過深入分析和工具,效果會更好。

顯然,龍磊認為,工具並不是自己朝蘋果越獄前進最重要的東西,理解 iOS 系統,研究它的安全機制,才是驗證蘋果系統是否有「缺口」的關鍵所在。

這也是後來潘多拉實驗室一直沒有發布越獄工具的原因之一,宋楊認為,發布工具不是他們的目的,他們的初衷還是檢測蘋果系統是否「足夠安全」,從攻擊視角提升移動生態安全的水位。

挑戰最難的模塊,恰恰是最快的路

2016 年是龍磊最「痛苦」的一年。

及時調整方向後,原來的老搭檔也來到了阿里,龍磊與他一起全身心地投入了蘋果系統的深入研究與分析,並嘗試用新思路來做這件事。

很快,他們完成了第一次越獄。但是,龍磊等人的喜悅並沒有維持多久,蘋果就進行了一次安全升級,這次的越獄馬上失效了,龍磊等人研究出來的「越獄有效時間」只有 3 個月。「當時,我感受到了很強的挫敗感,自己投入了很長時間研究的東西,蘋果發布一個安全修補升級後,我們的努力一下子從100分降到了0分。」龍磊說。

隨後的一年裡,他們都在找漏洞—完成越獄—漏洞被蘋果修補這三種狀態間來回切換,龍磊等人與蘋果玩著「貓捉老鼠」的遊戲,一時間無法找到穩定的越獄方法,十分焦慮。

直到 2017 年,隨著其研究的深入和經驗的積累,龍磊等人才可以做到比較快速地應對蘋果的安全升級,並且保持越獄的能力。

龍磊沒有透露此次越 iOS 11.2 的手法。但雷鋒網了解到, iOS 11.1 包含有存在缺陷的、可以被繞過的 SMAP 機制。蘋果在 iOS 11.2 中修復了這個漏洞,迫使研究人員尋找其他繞過 SMAP 的方法。此次越獄 iOS 11.2 則利用了一個內存緩衝區溢出漏洞,觸發內核錯誤。

龍磊告訴雷鋒網,如果沒有意外,他們走出來的「這條大道」在接下來蘋果要發布的新版本中,大概率還能走得通。

他總結了一個經驗:「以前出過安全問題的一些模塊更有可能產生安全問題。但是業界對這些模塊的關注度是一陣一陣的。比如,有人這一年關注這個模塊,下一年關注另外一個模塊,但我可能會選擇回退好幾年,去看大家曾經關注過的模塊,那些看上去成熟度已經非常高的模塊一旦找到漏洞,或者安全機制上的問題,就不那麼容易被修補。

不追熱點,能回頭反思,找成熟度最高的模塊下手,挑戰看上去最不可能的路,對龍磊而言,恰恰是走得最快的那條路。


推薦閱讀:

為何好多果粉一邊吹噓蘋果不卡,一邊糾結要不要升IOS 11?
heic格式怎麼才能用電腦打開??
如何看待蘋果於iOS11中有意取消3D Touch切換後台做法?
如何評價蘋果9月20日凌晨推送的iOS 11 正式版?
蘋果7更新了ios11後感覺耗電量更大了,電量掉的老快?

TAG:iOS11 | 阿里巴巴集團 | 移動互聯網 |